Hola,

Las variables de sesión no es posible verlas externamente, es decir, sin iniciar el servidor en modo de depuración y conectarse a un puerto de depuración específico y para eso necesitas saber una contraseña administrativa del servidor de aplicaciones.

Hasta donde llega mi conocimiento no puedes hacer nada simple para verlas o cambiarlas, tendrías que lograr subir código al servidor por algún medio y eso es bastante complicado, pero siempre hay que tener en cuenta muchos detalles a la hora de diseñar la aplicación.

Como por ejemplo la inyección de código a traves de consultas SQL, la ejecución de código por medio de 'uploads' no controlados, etc. Ahora el caso de la seguridad del cliente es otra cosa, el cookie se guarda en el browser del cliente, y en otros casos el ID de sesión se pasa por el URL cuando los cookies no están habilitados, lo que expone un riesgo extra.

Eso es hasta donde llega mi conocimiento al respecto,
Saludos,